Vào tháng 1 năm 2019, a lỗ hổng nghiêm trọng đã được báo cáo trong tính năng trò chuyện nhóm FaceTime của Apple giúp người dùng có thể bắt đầu cuộc gọi video FaceTime và nghe trộm mục tiêu bằng cách thêm số của họ làm người thứ ba trong cuộc trò chuyện nhóm ngay cả trước khi người ở đầu dây bên kia chấp nhận cuộc gọi đến.
Lỗ hổng này được coi là nghiêm trọng đến mức nhà sản xuất iPhone đã loại bỏ hoàn toàn tính năng trò chuyện nhóm FaceTime trước khi vấn đề được giải quyết trong bản cập nhật iOS tiếp theo.
Kể từ đó, một số thiếu sót tương tự đã được phát hiện trong nhiều ứng dụng trò chuyện video như Signal, JioChat, Mocha, Google Duo và Facebook Messenger – tất cả đều nhờ công của nhà nghiên cứu Google Project Zero, Natalie Silvanovich.
“Trong khi [the Group FaceTime] lỗi đã sớm được sửa, thực tế là lỗ hổng nghiêm trọng và dễ tiếp cận như vậy đã xảy ra do lỗi logic trong máy trạng thái đang gọi – một kịch bản tấn công mà tôi chưa từng thấy trên bất kỳ nền tảng nào – khiến tôi tự hỏi liệu các máy trạng thái khác có tương tự không lỗ hổng bảo mật, “Silvanovich đã viết trong buổi tìm hiểu sâu vào thứ Ba về công việc của cô ấy.
Báo hiệu trong WebRTC hoạt động như thế nào?
Mặc dù phần lớn các ứng dụng nhắn tin ngày nay dựa vào WebRTC để giao tiếp, nhưng bản thân các kết nối được tạo ra bằng cách trao đổi thông tin thiết lập cuộc gọi bằng Giao thức mô tả phiên (SDP) giữa các đồng nghiệp trong cái gọi là báo hiệu, thường hoạt động bằng cách gửi đề nghị SDP từ đầu của người gọi, mà người gọi phản hồi bằng câu trả lời SDP.
Nói cách khác, khi người dùng bắt đầu cuộc gọi WebRTC tới người dùng khác, mô tả phiên được gọi là “phiếu mua hàng” được tạo ra chứa tất cả thông tin cần thiết để thiết lập kết nối – loại phương tiện được gửi, định dạng của nó, giao thức truyền được sử dụng và địa chỉ IP và cổng của điểm cuối, trong số những người khác. Sau đó, người nhận sẽ trả lời bằng một “câu trả lời”, bao gồm mô tả về điểm cuối của nó.
Toàn bộ quá trình là một máy nhà nước, cho biết “vị trí trong quá trình phát tín hiệu trao đổi đề nghị và trả lời kết nối hiện đang ở đâu.”
Cũng được bao gồm tùy chọn như một phần của trao đổi phiếu mua hàng / câu trả lời là khả năng giao dịch của hai đồng nghiệp Ứng viên SDP với nhau để thương lượng kết nối thực tế giữa chúng. Nó trình bày chi tiết các phương pháp có thể được sử dụng để giao tiếp, bất kể cấu trúc liên kết mạng là gì – một khuôn khổ WebRTC được gọi là Thiết lập Kết nối Tương tác (NƯỚC ĐÁ).
Sau khi hai đồng nghiệp đồng ý về một ứng viên tương thích lẫn nhau, SDP của ứng viên đó sẽ được sử dụng bởi mỗi đồng nghiệp để xây dựng và mở một kết nối, qua đó, phương tiện truyền thông bắt đầu lưu chuyển.
Bằng cách này, cả hai thiết bị chia sẻ với nhau thông tin cần thiết để trao đổi âm thanh hoặc video qua kết nối ngang hàng. Nhưng trước khi sự chuyển tiếp này có thể xảy ra, dữ liệu phương tiện đã thu được phải được gắn vào kết nối bằng cách sử dụng một tính năng được gọi là bản nhạc.
Mặc dù dự kiến rằng sự đồng ý của callee được đảm bảo trước khi truyền âm thanh hoặc video và không có dữ liệu nào được chia sẻ cho đến khi người nhận tương tác với ứng dụng để trả lời cuộc gọi (tức là trước khi thêm bất kỳ bản nhạc nào vào kết nối), Silvanovich đã quan sát thấy hành vi ngược lại .
Nhiều ứng dụng nhắn tin bị ảnh hưởng
Các lỗ hổng trong ứng dụng không chỉ cho phép các cuộc gọi được kết nối mà không có sự tương tác từ bộ nhớ mà còn có khả năng cho phép người gọi buộc thiết bị bộ nhớ truyền dữ liệu âm thanh hoặc video.
- Tín hiệu (đã khắc phục vào tháng 9 năm 2019) – Một lỗ hổng cuộc gọi âm thanh trong ứng dụng Android của Signal khiến người gọi có thể nghe thấy môi trường xung quanh của người gọi do ứng dụng không kiểm tra xem thiết bị nhận được tin nhắn kết nối từ người gọi có phải là người gọi hay không thiết bị.
- JioChat (cố định vào tháng 7 năm 2020) và Mocha (cố định vào tháng 8 năm 2020) – Thêm ứng cử viên vào các ưu đãi được tạo bởi Reliance JioChat và ứng dụng Android Mocha của Viettel cho phép người gọi buộc thiết bị mục tiêu gửi âm thanh (và video) mà không cần sự đồng ý của người dùng. Các sai sót xuất phát từ thực tế là kết nối ngang hàng đã được thiết lập ngay cả trước khi người gọi trả lời cuộc gọi, do đó làm tăng “bề mặt tấn công từ xa của WebRTC.”
- tin nhắn Facebook (cố định vào tháng 11 năm 2020) – A sự dễ bị tổn thương điều đó có thể đã cấp cho kẻ tấn công đã đăng nhập vào ứng dụng đồng thời bắt đầu cuộc gọi và gửi một tin nhắn được chế tạo đặc biệt tới một mục tiêu đã đăng nhập vào cả ứng dụng cũng như một ứng dụng Messenger khác, chẳng hạn như trình duyệt web và bắt đầu nhận âm thanh từ thiết bị callee.
- Google Duo (cố định vào tháng 12 năm 2020) – Một điều kiện chạy đua giữa việc tắt video và thiết lập kết nối, trong một số tình huống, có thể khiến bộ nhớ làm rò rỉ các gói video từ các cuộc gọi không được trả lời.
Các ứng dụng nhắn tin khác như Telegram và Viber không có lỗi nào ở trên, mặc dù Silvanovich lưu ý rằng những thách thức về kỹ thuật đảo ngược đáng kể khi phân tích Viber khiến cuộc điều tra “kém nghiêm ngặt” hơn những ứng dụng khác.
Silvanovich kết luận: “Phần lớn các máy trạng thái cuộc gọi mà tôi đã điều tra có lỗ hổng logic cho phép nội dung âm thanh hoặc video được truyền từ người gọi đến người gọi mà không cần sự đồng ý của người gọi,” Silvanovich kết luận. “Đây rõ ràng là một khu vực thường bị bỏ qua khi bảo mật các ứng dụng WebRTC.”
“Phần lớn các lỗi dường như không phải do nhà phát triển hiểu sai về các tính năng của WebRTC. Thay vào đó, chúng là do lỗi trong cách triển khai các máy trạng thái. Điều đó cho thấy, việc thiếu nhận thức về các loại vấn đề này có thể là một yếu tố , ”cô nói thêm.
“Cũng cần lưu ý rằng tôi đã không xem xét bất kỳ tính năng gọi nhóm nào của các ứng dụng này và tất cả các lỗ hổng được báo cáo đều được tìm thấy trong các cuộc gọi ngang hàng. Đây là một lĩnh vực cho công việc trong tương lai có thể phát hiện ra các vấn đề khác.”
